Windows 云服务器系统常见安全操作

1. 账户管理

1.1 账户

禁用 Guest 账户

操作步骤:

打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定。

不显示最后的用户名

配置登录登出后,不显示用户名称。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,双击 交互式登录:不显示最后的用户名,选择 已启用 并单击 确定。

1.2 口令

密码复杂度

密码复杂度要求必须满足以下策略:

1.最短密码长度要求八个字符。

2.启用本机组策略中密码必须符合复杂性要求的策略。

即密码至少包含以下四种类别的字符中的两种:

1.英语大写字母 A, B, C, … Z

2.英语小写字母 a, b, c, … z

3.西方阿拉伯数字 0, 1, 2, … 9

4.非字母数字字符,如标点符号,@, #, $, %, &, *等

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,确认 密码必须符合复杂性要求 策略已启用。

密码最长留存期

对于采用静态口令认证技术的设备,帐户口令的留存期不应长于 90 天。 操作步骤打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,配置 密码最长使用期限 不大于 90 天。

帐户锁定策略

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 10 次后,锁定该用户使用的帐户。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,配置 帐户锁定阈值 不大于10次。 配置样例:

1.3 授权

远程关机

在本地安全设置中,从远端系统强制关机权限只分配给 Administrators 组。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从远端系统强制关机 权限只分配给 Administrators 组。

本地关机

在本地安全设置中关闭系统权限只分配给Administrators组。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 关闭系统 权限只分配给 Administrators 组。

用户权限指派

在本地安全设置中,取得文件或其它对象的所有权权限只分配给 Administrators 组。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 取得文件或其它对象的所有权 权限只分配给 Administrators 组。

授权帐户登陆

在本地安全设置中,配置指定授权用户允许本地登陆此计算机。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 允许本地登录 权限给指定授权用户。

授权帐户从网络访问

在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从网络访问此计算机 权限给指定授权用户。

2. 日志配置操作

2.1 日志配置

操作步骤:

本地安全策略->本地策略->审核策略,打开以下内容:

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问 失败

审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

日志文件大小

设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。

操作步骤:

打开 控制面板 > 管理工具 > 事件查看器,配置 应用日志、系统日志、安全日志 属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。

3. 文件权限

3.1 共享文件夹及访问权限

关闭默认共享

非域环境中,关闭 Windows 硬盘默认共享,例如C$,D$。

操作步骤:

cmd 下执行 net share C$ /del 或者打开 注册表编辑器,根据推荐值修改注册表键值。 • HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer 推荐值: 0

共享文件夹授权访问 每个共享文件夹的共享权限,只允许授权的帐户拥有共享此文件夹的权限。

操作步骤:

每个共享文件夹的共享权限仅限于业务需要,不要设置成为 Everyone。打开 控制面板 > 管理工具 > 计算机管理,在 共享文件夹 中,查看每个共享文件夹的共享权限。

4. 服务安全

4.1 禁用TCP/IP上的NetBIOS

禁用TCP/IP上的NetBIOS协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。

操作步骤:

  1. 在 计算机管理 > 服务和应用程序 > 服务 中禁用 TCP/IP NetBIOS Helper 服务。
  2. 在网络连接属性中,双击 Internet 协议版本 4(TCP/IPv4),单击 高级。在 WINS 页签中,进行如下设置:

禁用不必要的服务

禁用不必要的服务,请参考:

Computer Browser 维护网络电脑更新,建议禁用

Distributed File System 局域网管理共享文档,建议禁用

Distributed linktracking client 用于局域网更新连接信息,建议禁用

Error reporting service 发送错误报告,作为服务器,建议禁用

Microsoft Search 提供快速的单词搜索,禁用

NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的,禁用

PrintSpooler 假如没有打印机,可禁用

Remote Registry 禁止远程修改注册表,可禁用

Remote Desktop Help Session Manager 远程协助,安全期间,禁用

TCP/IP NetBIOS Helper 提供 TCP/IP上的 NetBIOS,禁用

WinHTTP Web Proxy Auto-Discovery Service 建议启用 Windows Font Cache Service 禁用

IP Helper 禁用。服务用于 IPv6 转IPv4

Diagnostic Policy Service 手动

5.安全选项

5.1 启用安全选项

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,进行如下设置:

交互式登陆:不显示上次的用户名 不设置

交互式登陆:试图登录的用户的消息文本 启用

Microsoft 网络服务器:对通信进行数字签名(如果客户端允许) 启用

Microsoft 网络服务器:对通信进行数字签名(始终) 启用

Microsoft 网络客户端:对通信进行数字签名(如果服务器允许) 启用

Microsoft 网络客户端:对同学进行数字签名(始终) 启用

网络访问:不允许SAM帐户和共享的匿名枚举 启用

网络安全:LAN 管理器身份验证级别 发送LM和NTLM响应(&)

网络访问:不允许为网络身份验证储存凭证 启用

网络访问:可匿名访问的共享 全部删除

网络访问:可匿名访问的命令 全部删除

网络访问:可远程访问的注册表路径 全部删除

网络访问:可远程访问的注册表路径和子路径 全部删除

5.2 禁用未登录前关机

服务器默认是禁止在未登录系统前关机的。如果启用此设置,服务器安全性将会大大降低,给远程连接的黑客造成可乘之机,强烈建议禁用未登录前关机功能。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,禁用 关机: 允许系统在未登录前关机 策略。

6. 其他安全配置

6.1 防病毒管理

建议使用 Windows 的云服务器安装防病毒软件。

操作步骤:

安装企业级防病毒软件,并开启病毒库更新及实时防御功能。

6.2 设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为十分钟。

操作步骤:

启用屏幕保护程序,设置等待时间为 10 分钟,并启用 在恢复时使用密码保护。

6.3 限制远程登陆空闲断开时间

对于远程登陆的帐号,设置不活动超过时间 15 分钟自动断开连接。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,设置 Microsoft 网络服务器:暂停会话前所需的空闲时间数量 属性为 15 分钟。

6.4 操作系统补丁管理

服务器系统保持自动更新,确保安装最新的官方安全补丁。

7.数据保护

对 Windows 操作系统程序和服务启用系统自带 DEP 功能(数据执行保护),防止在受保护内存位置运行有害代码 操作步骤 进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 操作系统程序和服务启用 DEP ”。

8.防火墙设置

非业务需要的情况下,建议关闭高危敏感端口,例如135、139、137、445等端口。防止未知的利用 Windows 高危端口的远程攻击。

操作步骤:

命令行执行:

netsh firewall set portopening TCP 135 DISABLE

netsh firewall set portopening TCP 137 DISABLE

netsh firewall set portopening TCP 139 DISABLE

netsh firewall set portopening TCP 138 DISABLE

netsh firewall set portopening TCP 445 DISABLE

9.关闭 SMB 服务

操作步骤:

cmd 命令行执行:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol